今年は名古屋港やJAXAなど…重要インフラへのサイバー攻撃、セキュリティ強化のために何が必要？

　企業に向けて脆弱性診断や脆弱性管理などのツールを提供するTenableが記者説明会を開催し、電力や水道、工場など重要インフラのOT（Operational Technology、社会インフラの制御・運用技術）セキュリティについて解説した。

　記者説明会では、米国土安全保障省の産業制御システムサイバー緊急対応チーム（ICS-CERT）のディレクターも務めたマーティ・エドワーズ（副CTO 重要インフラ・IT/IoT担当）氏が、OTのセキュリティの重要性とそこにおけるTenableの役割を解説した。また、Tenable Network Security Japan株式会社の貴島直也氏（カントリーマネージャー）が、2024年のTenableの展望について語った。

（左から）Tenableのマーティ・エドワーズ氏（副CTO 重要インフラ・IT/IoT担当）、Tenable Network Security Japan株式会社の貴島直也氏（カントリーマネージャー）

OTへの攻撃が増加、日本では名古屋港やJAXAなど

　エドワーズ氏はまず、OTのセキュリティの問題が日本だけでなくグローバルであまり注目されていなかったと説明した。この十数年の間にサイバー攻撃によって社会の基幹となるインフラが止まったケースも出ており、「OTの攻撃は減っているのではないかと思うかもしれないが、実際には増えている」と言う。

Tenable 副CTO 重要インフラ・IT/IoT担当 マーティ・エドワーズ氏

OT攻撃は増加

　ITとOTへのサイバー攻撃の違いとしてエドワーズ氏は、ITのサイバー攻撃ではクレジットカード情報や個人情報などのデータ窃盗が多いのに対し、OTでは物理的なダメージを狙ったものが多く、インパクトが大きいと説明した。

　また、OTへの攻撃では、被害を受けた企業が公表しないことも多いという。その中で、日本で今年サイバー攻撃があったことが公表されている例として、名古屋港や、日本航空電子工業、JAXA（宇宙航空研究開発機構）がある。「OTへの攻撃は、想像上のものではなく実際に起こっている」と念を押した。

　基幹インフラが狙われる理由としては、社会的な影響が大きいことや、経済目的および国家支援を受けた組織などさまざまな理由があるとエドワーズ氏は語った。

日本で今年サイバー攻撃があったことが公表されている例

OTセキュリティもCIO/CISOや経営陣の責任に

　ITとOTで共通して懸念されているのが、犯罪目的のランサムウェアだ。重要なファイルを暗号化して復活させるために身代金を要求したり、さらにデータを公開すると脅迫したりする組織犯罪だ。

　OTでのランサムウェア攻撃の例として、米国東部でガソリンやジェット燃料を運ぶコロニアル・パイプライン社の2021年の事件をエドワーズ氏は紹介した。この事件では、米国東部の燃料供給が5日～7日間止まるという社会的な影響を与えた。

　ランサムウェアは日本でも大きな問題だ。ランサムウェアに関する日本企業への調査において、78％の企業が事業継続のためであれば身代金を支払うことを検討する可能性があると回答している。エドワーズ氏は「多くのセキュリティ機関が払わないことを推奨しているが、企業は事業を通常に戻すのに払わざるをえず、複雑な意思決定だ」とコメントした。

　このように、攻撃が増えるに従い、企業の経営陣が、自社のセキュリティ保護や復旧の計画について知っていることが重要になっている、とエドワーズ氏は言う。

ランサムウェアに対する企業の意思決定の問題

　例えば工場では一般に、工場長やオペレーションの責任者がセキュリティに関しての権限も持っていることが多い。しかし、サイバー攻撃が増えるにつれて、世界ではOTセキュリティの責任をCISO（最高情報セキュリティ責任者）に移譲するようになってきた、とエドワーズ氏。これは日本でも、始まったばかりだが、工場長からCIO（最高情報責任者）への移譲の傾向が始まったという。

　特に米国では、SEC（米国証券取引委員会）により、公開企業は役員会でサイバーセキュリティの知識を求められる。これは、かつて経済危機により役員会に金融や会計の専門家を置くようにサーベインス・オクスレー法で求められたのと似ている、とエドワーズ氏は説明した。

OTセキュリティでもCIOやCISOに責任が移譲されるように

SECは役員会のレベルでサイバーセキュリティの専門知識が必要になると表明

　こうしたことから、企業はサイバー保険の導入に目を向けている。しかし、保険会社のほうでも、企業に対してより詳細な情報を求めるようになり、保険に加入しにくくなっているとエドワーズ氏は説明する。

　「OTはITよりセキュリティ投資が進んでいないが、OTセキュリティは多くの企業で投資不足であり、優先度を高くしたほうがいい」とエドワーズ氏。OTを守る手法が確立されていないという誤解があるが、すでに成熟した技術が利用できるという。

サイバー保険に加入しにくくなった、という回答が39％に上った

「OTセキュリティへの投資の優先度を高くしたほうがいい」

TenableソリューションでITもOTも資産を一元的に可視化

　具体的にどのような対策が求められるのか、という点についても説明した。例えばランサムウェア対策においては、全ての情報をバックアップしてそのリストアを演習し、そのうえで社内の全ての資産を特定し、セキュリティ状態を監視する。

　中でも米CISA（Cybersecurity and Infrastructure Security Agency、サイバーセキュリティ・社会基盤安全保障庁）が、最初に対処すべきものとして明記しているのは、社内資産の特定だ。

　これは、どのような機器があるか、ITに加えてOTも全て把握して管理するというものだ。ただし、ITはある程度共通のシステムであるのに対し、OTは例えばロボット制御などのように専用システムとなっていることがあり、管理が難しい。

　この問題に対して、Tenableでは両者を一元的に可視化するハイブリッドなアプローチを持っている、とエドワーズ氏は自社ソリューションを紹介した。

ランサムウェア対策の段階的な実施

OT資産の可視化の問題

TenableのソリューションでITもOTも資産を一元的に可視化

　最後にエドワーズ氏は、2024年のOTセキュリティの予想について語った。1つ目は、サイバー保険の会社が、製造業にきちんとしたセキュリティ対策を行っているかどうかなどセキュリティ要件のプレッシャーをかけるというものだ。

　もう1つは、OTセキュリティ投資が予算項目に入るというもの。製造などの世界で、メールセキュリティなどのITセキュリティの予算から、OTのセキュリティに予算がシフトするというものだ。

2024年のOTに関する予測（期待）

“火元”になりうるものを管理して先手のセキュリティ対策を

　それを受けて貴島氏が、2024年の展望を語った。

Tenable Network Security Japan株式会社 カントリーマネージャー 貴島直也氏

　「2023年のサイバー攻撃は、やはり多かったと思う。2024年も残念ながら減ることはないと思う」（貴島氏）

　これまでのセキュリティ対策は、「火事に例えると、火が出たら消すという後手の対応が主流だった」という。そして今後は、火事が起きそうな箇所を点検するような、先手のセキュリティが主流になると考えている、と語った。

　例えば火事については、ガスコンロや風呂、バッテリーなどの火元になるものを管理する。サイバーセキュリティでも同様に、多数のデバイスを管理するツールが重要だ、というわけだ。そして、ITやOTなどをまとめて見てセキュリティ評価することで、その結果攻撃が減ると考えている、と貴島氏は述べた。

　さらにITでは、クラウドセキュリティも大事になっている。これに対してTenableでもエンドツーエンドのクラウドネイティブアプリケーション保護プラットフォームを開発した実績があるErmeticを2023に買収して、クラウドにポートフォリオを広げたことを紹介した。